Política Interna de Privacidade e Proteção de Dados

1. INTRODUÇÃO

Estabelecer os princípios de Privacidade e Proteção de Dados pessoais/privados e informações sensíveis dos ativos de informações adotados pela Associação Brasileira de Estomaterapia: estomias, feridas e incontinências (SOBEST®) inerentes ao disposto na Lei nº 13.709/2018, a Lei Geral de Proteção de Dados (LGPD).

A SOBEST® por meio de seus representantes, colaboradores ou fornecedores, deve realizar operações de tratamento de dados pessoais e está comprometida em assegurar que tais operações, estejam alinhadas às melhores práticas de mercado e atendam às exigências legais.

2. ABRANGÊNCIA

O cumprimento das exigências da Lei supracitada é aplicável a todos os membros diretores, assessores, funcionários, estagiários, associados e prestadores de serviços relevantes para a SOBEST® independentemente de cargos e funções.

3. CONCEITOS E SIGLAS

A sigla LGPD está sendo adotada para designar a Lei Geral de Proteção de Dados.

A Lei nº 13.709, sancionada em 14 de agosto de 2.018, no Art. 1º “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. ”

Expressões utilizadas na Gestão de Privacidade e Proteção de Dados:

Arquivamento: cópia de dados de um dispositivo de armazenamento a outro para que possa ser recuperado em caso de auditoria ou consulta de dados históricos.

Backup: salvaguarda de informações realizada por meio de reprodução e/ou espelhamento de uma base de arquivos com a finalidade de recuperação em caso de incidente ou necessidade de restauração, ou ainda, constituição de infraestrutura de acionamento imediato em caso de incidente ou necessidade justificada.

Criptografia: mecanismo de segurança que visa proteger as informações permitindo o acesso exclusivo do receptor.

Dados pessoais: é toda e qualquer informação relacionada a pessoa natural identificada ou identificável. Entre os exemplos de dados pessoais podemos citar o nome, RG, CPF, e-mail, telefone fixo e celular, endereço residencial, imagem e demais documentos válidos no território nacional.

Dados pessoais sensíveis: é todo dado pessoal que pode gerar qualquer tipo de discriminação, tais como os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

Titular: pessoa natural a quem se referem os dados pessoais.

Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Disponibilidade: garantia de que as informações e os Recursos de Tecnologia da Informação e Comunicação (TIC) estejam disponíveis sempre que necessário e mediante a devida autorização para seu acesso ou uso.

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.

Processador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Encarregado: pessoa natural ou jurídica designada pela SOBEST®® responsável pela proteção de dados privados e pessoais.

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Anonimização: processos e técnicas por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, ao titular.

Dado anonimizado: dado relativo ao titular que não permite a identificação dos mesmos, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. O dado anonimizado não é considerado dado pessoal para fins de aplicação da LGPD.

Pseudoanonimização: processos e técnicas por meio dos quais um dado tem sua possibilidade de associação dificultada. O dado pseudoanonimizado é considerado dado pessoal para fins de aplicação da LGPD, tendo em vista a possibilidade de associação desse dado a uma pessoa natural.

Evento: Uma ocorrência que pode ser observada em uma rede ou sistema. Eventos incluem, mas não se limitam a um usuário conectando em um compartilhamento de arquivos, um servidor recebendo uma requisição de uma página web ou um usuário encaminhando um e-mail.

Incidente: evento adverso em uma rede, e/ou sistema, ou a ameaça de ocorrência de tal evento. É uma violação ou ameaça iminente de violação de uma política de segurança ou boas práticas, que tenha causado prejuízo ou tentativa de causar.

Incidente de segurança da informação: ocorrência identificada de um estado de sistema, dados, informações, serviço ou rede, que indica possível violação à Política de Segurança da Informação ou documentos complementares, falha de controles ou situação previamente desconhecida relevantes à segurança da informação.

Informação: é o conjunto de dados que, processados ou não, podem ser utilizados para produção, transmissão e compartilhamento de conhecimento, contidos em qualquer meio, suporte ou formato.

Recursos de TIC – Recursos de Tecnologia da Informação e Comunicação: Hardware, software, serviços de conexão e comunicação ou de infraestrutura física necessários para criação, registro, armazenamento, manuseio, transporte, compartilhamento e descarte de informações.

Restauração ou Restore: processo de recuperação dos dados salvaguardados e sua colocação em produção.

Risco: combinação dos impactos advindos da ocorrência de um evento indesejado relacionado à segurança da informação e da probabilidade de sua ocorrência.

Segurança da Informação: é a preservação da confidencialidade, integridade, disponibilidade, legalidade e autenticidade da informação. Visa proteger a informação dos diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios, maximizar o retorno dos investimentos e de novas oportunidades de transação.

Tentativa de Burla: esforços para não desrespeitar ou tentar violar as diretrizes estabelecidas nos normativos da SOBEST®.

4. PRINCÍPIOS DE PROTEÇÃO DE DADOS PESSOAIS

A SOBEST® trabalha com o devido cuidado, mantendo a segurança, confidencialidade e privacidade das informações de associados e clientes que são acessadas por seus funcionários e colaboradores internos.

Os mesmos princípios são aplicados também aos parceiros comerciais, fornecedores de serviços de tecnologia e demais prestadores de serviços em geral.

As informações coletadas são usadas internamente e exclusivamente para os fins especificados que motivaram sua obtenção não devendo ser utilizadas para fins pessoais ou diferentes do seu propósito.

Os dados privados, pessoais e ou sensíveis do titular:

Devem ser processados de forma legal, justa e transparente em relação aos mesmos;
Devem ser coletados para fins específicos, explícitos e legítimos e não processados posteriormente de maneira incompatível com esses objetivos; o tratamento posterior, para fins de arquivo no interesse público, de investigação científica, histórica e estatística não são considerados incompatíveis com os fins iniciais;
Devem ser adequados, relevantes e limitados ao uso necessário em relação aos fins para os quais são destinados e/ou processados.
Podem ser armazenados por períodos mais longos, desde que sejam processados exclusivamente para arquivamento no interesse público, histórico das operações ou com objetivo estatísticos, sujeitos à implementação das medidas técnicas e organizacionais apropriadas exigidas pela LGPD, preservando os direitos e liberdade das pessoas.
Devem ser processados de maneira a garantir a sua segurança, incluindo proteção contra processamento não autorizado ou ilegal e contra a perda, destruição ou dano acidental, por meio do uso medidas técnicas ou organizacionais apropriadas.

Observação: Quando solicitado pelo titular e/ou quando necessário, os dados devem ser atualizados. Todas as medidas razoáveis devem ser tomadas para garantir que os dados pessoais imprecisos, sejam apagados e/ou retificados no tempo hábil.

5. TRATAMENTO DE DADOS PESSOAIS/PRIVADOS SENSÍVEIS

Para todos os ativos de informação que contenham dados pessoais/privados e informações sensíveis, sejam eles em meio magnético, ótico ou papel, deverão observar os seguintes princípios: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

Para tanto, devem ser observados os seguintes cuidados:

Garantir que estejam guardados em lugar seguro e adequado, de acordo com as melhores práticas de segurança da informação, fazendo valer dos melhores esforços e investimentos necessários para salvaguardar estas informações.
Realizar a verificação do tempo de retenção e manipulação dos dados pessoais/privados e informações sensíveis e seu descarte, assim que sua utilidade atender os fins de destino e em conformidade com o Termo de Aceite e Acordo de Privacidade estipulado.
Identificar os dados pessoais/privados e informações sensíveis destinados aos propósitos específicos e interesses da SOBEST® quanto ao seu conteúdo, indicando, quando necessário, o prazo de retenção e demais observações.

5.1 Os Titulares dos dados pessoais

São titulares dos dados pessoais pela política LGPD: diretores, assessores, funcionários, estagiários, associados e prestadores de serviços relevantes para a SOBEST® independentemente de cargos e funções com vínculo direto ou indireto com SOBEST® para adquirir ou fornecer algum benefício.

5.2 Como os dados pessoais são coletados

Os dados pessoais gerados pela SOBEST® são coletados a partir da submissão voluntária pelo associado ou clientes ou automaticamente por meio de registros eletrônicos que atendam aos princípios da finalidade, necessidade, adequação, transparência e não discriminação nos termos das leis e regulamentações que regem a privacidade e a proteção de dados pessoais.

A SOBEST® não coleta informações pessoais de indivíduos com idade inferior a 18 anos. Indivíduos abaixo da idade aplicável podem usar os serviços da SOBEST® apenas por meio da conta de um dos pais ou responsável legal e com a participação deles.

A base de dados da SOBEST® é de sua propriedade e responsabilidade, sendo que seu uso, acesso ou compartilhamento, quando necessários, devem ser realizados dentro dos limites e propósitos dos negócios da SOBEST® descritos nesta Política de Privacidade.

5.3 Bases Legais e Finalidades

Os Dados Pessoais são tratados de acordo com as bases legais previstas na LGPD e referem às seguintes atividades:

Manter o seu cadastro atualizado, verificando a veracidade das informações e eventuais acréscimos às mesmas;
Cumprir ordens e decisões judiciais, administrativas e arbitrais;
Avaliar o exercício regular de direitos necessários para a execução de contratos e processos judiciais, extrajudiciais, administrativos ou arbitrais;
Atender seus associados, clientes/fornecedores, potenciais clientes e terceiros, gerenciando dúvidas, acolhendo reclamações, solicitações, e suporte por meio de seus canais de atendimento, possibilitando a comunicação com os mesmos, sempre que necessário, e vice-versa;
Atender seus associados/clientes e oferecer produtos mais adequados ao seu perfil e às suas necessidades profissionais;
Avaliar o comportamento de navegação e o perfil dos usuários e associados/clientes, inclusive para entender se os mesmos tiveram acesso ao site e aplicativos por meio de acesso direto, links de terceiros, entre outros;
Realizar campanhas de marketing valendo-se da utilização de tecnologias da informação e soluções de propaganda online;
Realizar pesquisas ao público alvo para melhoria de seus produtos, serviços, atendimento e iniciativas;
Identificar, prevenir e gerenciar eventuais riscos de segurança da SOBEST®, de seus associados/clientes ou terceiros;
Garantir a segurança, prevenindo fraudes, por meio da análise do perfil, identificação, gerenciamento e regularização de potenciais riscos na oferta e contratação de produtos e/ou serviços e nas demais atividades da SOBEST®;
Promover as atividades da SOBEST® ou outras que venham a advir com base em finalidades legítimas, para a prestação de serviços que beneficiem seus associados/clientes;
Promover eventos, realizar patrocínios e outras atividades e iniciativas; e
Contratar fornecedores, funcionários, colaboradores e parceiros, conforme especifica a legislação.

Todos os Dados Pessoais e informações serão tratados como confidenciais, salvo se o próprio titular dos dados divulgá–los, e utilizados conforme as seguintes bases legais: execução de contrato ou procedimentos preliminares relacionados ao mesmo, cumprimento de obrigação legal ou regulatória, exercício regular de direito, proteção da vida ou incolumidade física, eventualmente, para realização de estudos por órgão de pesquisas, atender interesses legítimos, exceto de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos seus dados pessoais. Quando solicitado pelos proprietários e detentores dos direitos dos dados pessoais/privados e informações sensíveis, a SOBEST® deve providenciar e viabilizar os canais de comunicação, portais de internet e/ou plataformas sistêmicas, cumprindo com a solicitação de atualização e/ou exclusão para que as solicitações sejam atendidas, fazendo valer dos melhores esforços e investimentos necessários para cumprir com todas as responsabilidades definidas na LGPD e demais diretrizes desta norma.

5.4 ARMAZENAMENTO, RETENÇÃO E ELIMINAÇÃO DOS DADOS

Para fins de auditoria, segurança, controle de fraudes e outros crimes, preservação de dados pessoais enquanto durar sua finalidade de uso ou obrigação legal, regulatória ou judicial que justifique sua retenção. Ao término da finalidade de uso e do prazo de retenção obrigatório previsto em lei, os dados poderão ser eliminados com uso de métodos de descarte seguro ou anonimizados para utilização com fins estatísticos, caso seja solicitado pelo USUÁRIO.

5.5 COMPARTILHAMENTO DE DADOS

A SOBEST® poderá compartilhar os dados com provedores de serviços ou parceiros que auxiliam no gerenciamento ou dão suporte às suas operações. Os dados poderão ser compartilhados com provedores de serviços ou parceiros objetivando auxiliar no gerenciamento ou suporte das operações da associação em nome da própria associação, tais como prestadores de serviços de hospedagem e armazenamento de dados, meios de pagamento, personalização de conteúdo, atividades relacionadas a eventos, publicidade e marketing, incluindo publicidade digital e personalizada e serviços de tecnologia.

6. DISPOSIÇÕES GERAIS

A SOBEST® deve garantir um relatório de impacto, contendo os processos e procedimentos de tratamento de dados pessoais que possam gerar riscos à liberdade civil e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Os processos e procedimentos de proteção dos dados devem estar documentados e disseminados às áreas responsáveis.

Existindo o compartilhamento de informações privadas, pessoais e/ou sensíveis com terceiros, os contratos devem ser revisados visando a garantia da sua conformidade com a LGPD.

6.1 Processamento legal, justo e transparente

Para garantir que seu processamento de dados seja legal, justo e transparente, a SOBEST® deve manter a rastreabilidade dos dados privados e controla-los durante todo o seu ciclo de vida de utilização, por meio de sistemas de controle e registro de dados privados.

Esse sistema de registro e controle de dados privados deverá ser revisado anualmente.

Os titulares dos dados possuem o direito de acessar os seus dados pessoais/privados e quaisquer pedidos feitos devem ser tratados em tempo hábil às necessidades do titular.

6.2 Retenção e/ou guarda para propósitos/fins legais

Os dados pessoais do titular serão conservados pelo período máximo exigido para cumprir com as obrigações legais e regulamentares aplicáveis, ou por período relacionado com os requisitos operacionais da associação, ou seja, depende do propósito e da natureza do tratamento dos dados.

Quando atividades e/ou campanhas de comunicação, utilizando dados dos titulares forem enviadas com base em seu consentimento, a opção de revogação do seu consentimento deve estar claramente disponível e os sistemas devem estar em pleno funcionamento garantindo que a mesma seja refletida com precisão nos sistemas de dados da SOBEST®.

6.3 Minimização de dados

A SOBEST® deve garantir que os dados pessoais sejam adequados, coerentes, relevantes e limitados às suas necessidades para os devidos fins aos quais são processados.

6.4 Arquivamento / Remoção

A SOBEST® deve estabelecer uma política de arquivamento para cada área na qual os dados pessoais são processados e revisar o processo anualmente, garantindo que os dados privados/pessoais sejam mantidos por não mais do que tempo necessário aos fins específicos, explícitos e legítimos.

A política de backup de dados privados/pessoais deve considerar quais dados devem ser mantidos, por quanto tempo e os motivos específicos, explícitos e legítimos de sua retenção e/ou armazenamento.

6.5 Segurança

O acesso aos dados privados/pessoais deve estar limitado aos colaboradores autorizados e os sistemas, controles, normas e procedimentos de segurança de dados privados/pessoais devem estar em vigor evitando o compartilhamento não autorizado de informações;

Os dados privados/pessoais devem ser excluídos com segurança de modo que sejam irrecuperáveis;

Todos os colaboradores que farão uso dos dados pessoais dos titulares deverão assinar um termo de confiabilidade de dados.

6.6 Evidência Digital

Os colaboradores e usuários autorizados para o processamento de dados pessoais/privados da SOBEST® devem coletar evidências (ex. print da tela, foto) em casos de incidentes que sejam contrários à sua Política de Privacidade, à ética ou à legislação nacional vigente, além de informar o Departamento Administrativo e Jurídico sempre que necessário.

7. CUIDADOS GERAIS

A quebra de sigilo de informações acarreta responsabilidade civil e o responsável poderá ser acionado conforme penalidades previstas na legislação brasileira.

A SOBEST® mantém o compromisso de manter as informações pessoais de seus associados/clientes, parceiros e fornecedores em sigilo e segurança, tanto aqueles coletados por meio de Fichas Cadastrais preenchidas à mão, quanto àquelas obtidas diretamente em seu site

7.1 Coleta e Uso de Informações

As informações coletadas de associados/clientes, parceiros ou fornecedores serão acessadas somente por colaboradores autorizados, sendo proibidas e passíveis de punição a veiculação, a venda e divulgação a terceiros sem o prévio conhecimento e autorização dos interessados.

7.2 Segurança de Dados

Os dados coletados e inseridos nos sistemas internos de informação são protegidos de acessos não autorizados ou invasões externas utilização de softwares de segurança e firewall, de forma a manter a integridade e sigilo das informações obtidas.

7.3 Senhas

O acesso aos sistemas internos que contêm informações de associados/clientes, parceiros ou fornecedores será individualizado, realizado mediante login e senha pessoal e intransferível, evitando acessos não autorizados e/ou ações fraudulentas.

Os funcionários e colaboradores não devem divulgar, ceder ou emprestar respectivos logins e senhas a terceiros. As orientações sobre a composição de senhas estarão contidas em políticas especificas de segurança da informação.

8. REGULAMENTAÇÃO ASSOCIADA

Lei nº 13.709 de 14 de agosto de 2.018 (LGPD)

Essa Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

9. RESPONSABILIDADES E ATRIBUIÇÕES

9.1 Conselho de Segurança e Privacidade de Dados

O Conselho de Segurança e Proteção de Dados da SOBEST® é composto por Presidente, Primeiro Tesoureiro, Conselho Fiscal e Auxiliar Administrativo.
Divulgar as práticas e responsabilidades sobre a confidencialidade e manutenção da privacidade dos dados privados/pessoais de associados/clientes, parceiros ou fornecedores da SOBEST®.
Manter a interlocução com a Autoridade Nacional de Proteção de Dados (ANPD).
Manter a Política Interna de Privacidade e Proteção de Dados atualizada com base na legislação nacional.

9.2 Infraestrutura de Tecnologia da Informação (TI)

Definir, monitorar, guardar e executar as rotinas de proteção de dados privados/pessoais, sua retenção para fins legais, minimização criptografia e/ou anonimização.
Zelar pela integridade, confidencialidade, disponibilidade, autenticidade e legalidade dos dados pessoais/privados armazenados na execução das atividades de proteção de dados pessoais/privados de associados/clientes, parceiros ou fornecedores e salvaguarda de cópias de segurança.
Gerar relatório periódico sobre as rotinas de proteção de dados pessoais/privados.
Instalar, desinstalar e atualizar agentes de proteção, criptografia e/ou anonimização de dados pessoais/privados de associados/clientes, parceiros ou fornecedores.
Garantir o perfeito funcionamento e manutenção dos recursos e softwares destinados à proteção de dados pessoais/privados de associados/clientes, parceiros ou fornecedores.
a privacidade dos dados privados/pessoais de associados/clientes, parceiros ou fornecedores da SOBEST®.
Manter a interlocução com a Autoridade Nacional de Proteção de Dados (ANPD).
Manter a Política Interna de Privacidade e Proteção de Dados atualizada com base na legislação nacional.
Definir horários, datas e frequências em que serão executadas as rotinas de criptografia, anonimização, salvaguarda, retenção legal e/ou proteção de dados pessoais/privados de associados/clientes, parceiros ou fornecedores.
Gerenciar as chaves de criptografia utilizadas nas atividades de execução de proteção de dados pessoais/privados de associados/clientes, parceiros ou fornecedores, quando utilizadas.

10. ENCARREGADO PELO TRATAMENTO DE DADOS

Responsável pelo entendimento de todo ciclo de vida dos dados pessoais/privados, instruindo os demais funcionários/colaboradores para que a execução de todas as atividades relacionadas a privacidade e proteção de dados estejam em conformidade com LGPD.
Responsável pelo cumprimento e pela conformidade da Política Interna de Privacidade e Proteção de Dados.
Reportar ao Conselho de Segurança e Proteção de Dados da SOBEST® todas as conclusões e considerações sobre os riscos envolvidos em situações de uso inadequado de privacidade e proteção de dados, conforme a LGPD.
Interagir com os titulares dos dados pessoais/privados e a Autoridade Nacional de Proteção de Dados (ANPD) sendo um elo de interlocução entre essas partes.
Elaborar Relatório de impacto à proteção de dados pessoais/privados nos casos em que envolverem dados sensíveis, utilização destes em legítimo interesse como base legal ou quando exigido pela ANPD.

10.1 DOS FUNCIONÁRIOS E COLABORADORES

Zelar pelos dados contidos nos sistemas internos utilizando-os apenas para uso exclusivo de suas atividades.
Manter em segredo a sua senha e login de acesso para utilização das tecnologias disponibilizadas pela SOBEST®.
Proteger a privacidade dos dados pessoais/privados de terceiros ou pessoas não autorizadas ao acesso dos mesmos.
Cumprir rigorosamente todas as determinações dispostas nesta Política.

11. CANAIS DE COMUNICAÇÃO

Em caso de dúvidas ou questões sobre esta Política Interna de Privacidade e Proteção de Dados praticados pela SOBEST®, encaminhar a demanda para o Encarregado de Tratamento de Dados pelo telefone (11) 98657-0080 ou pelo e-mail: [email protected]

12. PENALIDADE / VIOLAÇÕES

Os incidentes de segurança da informação identificados devem ser encaminhados ao Conselho de Segurança e Proteção de Dados da SOBEST®, onde será apurada a responsabilidade dos envolvidos. Caso haja alguma infração este conselho deverá emitir um parecer circunstanciado à Diretoria e esta, se julgar procedente, encaminhará para a Assessoria Jurídica para aplicação de sanções cabíveis previstas em cláusulas contratuais e na legislação vigente.

No caso de uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados privados/pessoais, a SOBEST® deverá providenciar imediatamente a avaliação do risco visando garantir os direitos a privacidade dos dados pessoais/privados dos titulares.

As violações ocorridas sobre os dados e informações poderão ser comunicadas à ANPD, pelo Conselho de Segurança e Proteção de Dados da SOBEST®, após autorização da Diretoria.

13. DO CONTROLE DA POLÍTICA

A Política Interna de Privacidade e Proteção de Dados da SOBEST® será aprovada pela sua Diretoria e devendo ser amplamente publicada entre eles, para o seu devido cumprimento.

A Política Interna de Privacidade e Proteção de Dados da SOBEST® se aplica também aos dados coletados pelas seções regionais.

A Política Interna de Privacidade e Proteção de Dados da SOBEST® será revisada pelo Conselho de Segurança e Proteção de Dados, anualmente ou quando houver mudanças significativas na legislação nacional, visando assegurar a sua contínua pertinência, adequação e eficácia da mesma.

São Paulo, 02 de Agosto de 2023.